Mehr Security für SAP-Umgebungen

Sicherheitsrisiken durch Datenexporte aus SAP

Beim Thema Datensicherheit denkt man meist an Cyberattacken und andere Angriffe von außen. Doch ein noch viel größeres Sicherheitsrisiko liegt in der Preisgabe und Manipulation von Daten und Dokumenten durch Mitarbeiter, egal, ob dies aus böser Absicht oder versehentlich geschieht. Ein daraus folgender Datenverlust oder -missbrauch kann zu erheblichen geschäftsschädigenden Konsequenzen und hohen Kosten führen.

SAP ist weltweit eines der am weitesten verbreiteten ERP-Systeme und damit auch einer der wichtigsten Speicherorte für sensible Informationen. Die vermeintliche Gewissheit, dass die Daten innerhalb des SAP-Systems gut geschützt sind, führt bei vielen Verantwortlichen zu einem trügerischen Sicherheitsgefühl. Sobald die Informationen nämlich exportiert werden, ergeben sich zahlreiche Sicherheitsrisiken – und dies geschieht in den meisten Unternehmen täglich. Das sind typische Anwendungsszenarien aus der Praxis, die zu entsprechenden Sicherheitslücken führen:

  • Mitarbeiter exportieren täglich Daten aus SAP und versenden diese als Dokumente an andere Abteilungen oder Partner – ohne böse Absicht, einfach weil es schneller geht. Sobald die Daten jedoch die geschützte SAP-Umgebung verlassen, enthält das so entstandene Dokument keinerlei Sicherheitsinformationen aus dem SAP-System mehr.

  • Die exportierten Dokumente werden zudem häufig auf Mobilgeräte geladen und dort oder in der Cloud ungesichert gespeichert, was einen unberechtigten Zugriff von außen ermöglicht.

  • Manche Unternehmen lassen zudem externe Partner auf ihr SAP-System zugreifen – beispielsweise bei der Zusammenarbeit mit einer Wirtschaftsprüfungsgesellschaft. Diese exportiert dann ebenfalls Daten aus SAP. Dabei hat das Unternehmen keinerlei Informationen darüber, welche Daten in Form von Dokumenten exportiert und wie diese bei den Geschäftspartnern gespeichert werden.

  • Eine weitere potenzielle Gefahr ist der automatische Versand von Dokumenten aus SAP – beispielsweise Gehaltsabrechnungen. Obwohl Personaldaten nach dem Datenschutzgesetz streng vertraulich zu behandeln sind, werden bei diesem Versand entsprechend vertrauliche Informationen ohne Schutz versendet.

  • Die bisherigen Beispiele beschreiben unbeabsichtigte Sicherheitsverstöße. Dazu kommen aber auch gezielte Sicherheitsverletzungen, bei denen Mitarbeiter Daten aus SAP exportieren und mitnehmen, wenn sie beispielsweise das Unternehmen wechseln oder entsprechende Informationen an Wettbewerber verkaufen. Immer wieder kommt es vor, dass entsprechende Daten, wie Materiallisten, Rezepturen und Baupläne oder ähnliche Informationen zum Verkauf angeboten werden.

  • Auch bei einer Expansion ins Ausland steigt die Gefahr von Diebstahl geistigen Eigentums (wie Bauanleitungen, CAD-Zeichnungen, Materiallisten, etc.) – ob durch den externen Zugriff oder die Weitergabe der Informationen durch Mitarbeiter. Viele deutsche Unternehmen, die beispielsweise nach Asien expandieren, denken daher über Zugriffsbeschränkungen nach. Die Mitarbeiter müssen zwar vor Ort SAP nutzen, die Datenexporte können aber beschränkt werden.

Wie können diese Sicherheitsverstöße verhindert werden, ohne Arbeitsprozesse zu behindern?

  • Auditieren und Protokollieren: Eine für SAP geeignete Audit-Lösung schafft Transparenz über den Export und Austausch der geschäftskritischen SAP-Datenexporte. Audit-Teams können so gefährdete Bereiche, Benutzer oder Transaktionen identifizieren und Download-Aktivitäten auswerten. Basierend auf Benutzer, Dateityp, Dateigröße, Transaktion, Anwendung und IP-Adresse werden dabei Datenexporte sichtbar gemacht.

  • Daten klassifizieren: Im Idealfall sollten die Dokumente bereits im Moment des Exports aus SAP heraus im SAP-System klassifiziert werden. Da dies manuell zu zeitaufwändig wäre, lassen sich Dokumente automatisch nach bestimmten Kriterien, wie Formaten (z.B. SAP-Tabellen), Transaktionen, User- Rechten und Rollen, etc. klassifizieren und so beispielsweise als streng vertraulich, vertraulich, intern oder öffentlich definieren.

  • Berechtigungen und Export-Beschränkung: Auf Basis einer entsprechenden Klassifizierung können Berechtigungen dafür sorgen, dass besonders sensible Daten gar nicht oder nur von Personen mit den erforderlichen Berechtigungen exportiert werden können. In ausländischen Niederlassungen kann beispielsweise der Export bestimmter Daten aus dem SAP (zum Beispiel CAD-Zeichnungen etc.) komplett blockiert werden.

  • Integration mit Governance, Risk und Compliance (GRC): Mithilfe einer GRC-Integration werden entsprechende Verstöße kenntlich gemacht und entsprechende Alerts generiert. Im Idealfall ermöglicht eine entsprechende Lösung die Analyse von Downloads aus den SAP-Anwendungen nach GRC-Gesichtspunkten und erzeugt in Echtzeit auf diese Downloads bezogene auditierbare Protokolle.

  • Schutz der SAP-Datenexporte in der Microsoft-Welt: Die meisten Datenexporte aus SAP landen als Dokument in einer Microsoft-Anwendung. Sinnvoll ist daher eine Kombination der SAP-Klassifizierungen und -Berechtigungen mit einer starken Verschlüsselung und abgestimmten Zugriffsrichtlinien für die Microsoft-Welt. Über eine Integration mit Microsoft RMS (Rights Management Services) können Unternehmen somit sicherstellen, dass sämtliche Dokumente, die das SAP-System verlassen, über ihren gesamten Lebenszyklus verschlüsselt sind und nur von Mitarbeitern oder Geschäftspartnern gelesen, gedruckt oder weiterverarbeitet werden können, denen entsprechende Rechte eingeräumt wurden. Dieser Schutz kann für den Benutzer im Hintergrund automatisch erfolgen, um die Akzeptanz einer solchen Lösung zu erhöhen. Der Schutz, den die RMS-Technologie bietet, ist für sämtliche Dateitypen, wie Microsoft Office, PDF-, Bild- und Textdateien, plattformübergreifend. Somit können Nutzer sicher innerhalb des Unternehmens sowie mit externen Geschäftspartnern zusammenarbeiten und Daten austauschen.

Fazit: Intellektuelles Eigentum ist heute für Unternehmen einer der schützenswertesten Vermögenswerte. Die Erkenntnis, dass ein Dokument keinerlei Sicherheitsinformationen mehr enthält, sobald es die geschützte Umgebung von SAP verlässt, ist für viele Unternehmen ein 'Augenöffner'. Das führt zu der Erkenntnis: Nicht jeder, der eine Software nutzen darf, sollte auch gleichzeitig die Berechtigung haben, Daten zu exportieren und außerhalb des Systems ungeschützt weiter zu verarbeiten und zu versenden. Häufig ist es Mitarbeitern gar nicht bewusst, ob und wann sie es mit vertraulichen Daten zu tun haben und diese besser gar nicht oder, wenn überhaupt, nur speziell gesichert exportieren sollten. Mit Hilfe einer automatischen Klassifizierung werden sie darauf hingewiesen und damit gleichzeitig im Umgang mit Daten und Dokumenten sensibilisiert.